Ramt af ransomware? Så lad være med at slette filen, der kræver løsepenge

Illustration: Screenshot
Det er vigtigt ikke bare at slette ransomware, hvis der skal være håb for at kunne gendanne data.

En spontan reaktion ovenpå et ransomware-angreb kan måske være at slette alle spor efter malware-angrebet, geninstallere og så komme videre. Men det er ikke en god idé, før der er taget en backup af det krypterede indhold.

Ligesom der også skal gemmes en kopi af den såkaldte ransom-note - det vil sige den fil, malwaren kan efterlade på computeren, hvor detaljer om betaling af løsesum fremgår.

Senior e-threat analyst Bogdan Botezatu, Bitdefender Illustration: Bitdefender

Forklaringen er, at beskeden kan indeholde et infektions-id, der gør det muligt at finde frem til netop den nøgle, som har været brugt til at kryptere filerne med, fortæller senior e-threat analyst ved den rumænske it-sikkerhedsvirksomhed Bitdefender Bogdan Botezatu.

Læs også: Danskere ramt af ny ransomware: Nu har rumænsk antivirus-firma nøglerne

»99 pct. af gangene så er ransom-noten faktisk den vigtigste del, du skal have på systemet for at være i stand til at identificere den tilsvarende nøgle,« siger han.

Hvis filen med id-nummeret er væk, så er håbet om at finde den rette nøgle det i udgangspunktet også.

Situationen var aktuel forleden, da Bitdefender havde fået udleveret 52.000 krypteringsnøgler fra politiet, som havde været brugt i forbindelse med ransomwaren GandCrab.

Bogdan Botezatu har tidligere fortalt til Version2, at han ikke ved præcis, hvorfra politiet har nøglerne. En mulig forklaring kan være, at GandCrab-bagmændenes server er blevet kompromitteret.

Bitdefender har omsat de 52.000 nøgler til et dekrypteringsværktøj, som blev lanceret tidligere på måneden. Under et indlæg, hvor Bogdan Botezatu fortæller om lanceringen af værktøjet, fremgår det i kommentarsporet, at i hvert fald én bruger tilsyneladende har problemer med værktøjet, der ikke kan finde id-nummeret for infektionen.

Og Botezatu understreger flere gange i kommentarsporet vigtigheden af at beholde ransom-noten.

Og dette råd omfatter altså ikke kun Gandcrab-ransomwaren, men er generelt, påpeger Botezatu.

»Det hjælper os med at identificere det unikke infektions-id, og det hjælper os også med hurtigere at identificere, hvilen type ransomware der har krypteret filerne. Så bare ved at se på ransomware-noten kan jeg fortælle meget om infektionen.«

Best practice

Udover at beholde ransomware-noten så bør der også tages en backup af alle krypterede filer. Ellers er der jo ikke noget at dekryptere, skulle den mulighed opstå.

»Best practice i disse sager, når man bliver afkrævet løsesum, er at tage en fuld backup af ransom-computeren, gemme det et sted - eller i det mindste tage en backup af ransom-noten og ransom-filerne og gemme dem til senere.«

Ifølge Bogdan Botezatu kan det være, at it-sikkerhedsleverandører før eller siden finder en måde dekryptere data på - eksempelvis hvis de får kendskab til nøglen, som i tilfældet med Gandcrab.

Læs også: Rigsrevisionen dumper fire statslige institutioners værn mod ransomware

En bruger, der kalder sig Mahmoud, fortæller i kommentarsporet under anti-GandCrab-lanceringen, hvordan ransom-noten først skulle hives ud af karantæne-systemet i et antivirusprodukt, før Bitdefenders dekrypteringsværktøj, kunne køres.

Antivirus-produkter bør i udgangspunktet ikke fjerne ransom-noten, men det kan ske, påpeger Bogdan Botezatu.

»Hvis du kører et disinficeringsværktøj, så er der en risiko for, at det ikke bare sletter den eksekverbare ransomware, men også ransom-noten. Det er bad practice i branchen,« siger Bogdan Botezatu.

Ny version på gaden

Ofre, der er blevet inficeret med GandCrab, efter Bitdefender lancerede dekrypteringsværktøjet, har i øvrigt ikke kunnet dekryptere deres filer - ransom-note eller ej. I hvert fald ikke ifølge it-sikkerhedsmand og partner i CSIS Peter Kruse, som ofte har fingeren på pulsen i den slags sager.

Læs også: Ransomware-server nedlagt- efterlader nye ofre uden håb om dekryptering

Han har fortalt til Version2, at Bitdefenders lancering af dekrypteringsværktøjet fik personerne bag GandCrab til at nedlægge den command-and-control-server(C&C), som er blevet brugt til at styre malwaren med.

Så ofre, der er blevet inficeret med den gamle version af GandCrab, efter command-and-control-serveren blev nedlagt, har ikke mulighed for at få fat i en dekrypteringsnøgle og kan dermed heller ikke låse data op igen.

Siden er Gandcrab dukket op i en ny version, har Peter Kruse fortalt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Nej, og nej, og nej.

Tag backup, test backup, test recovery. Regelmæssigt.

Får du ransomware, så håndtér det som ethvert andet malwareincident.
Tag "backup" af ransomwaren hvis du skal bruge den til efterforskning eller efterfølgende retssager eller dialoger med f.eks. forsikringsselskab eller politi.
Tag ikke backup af malwaren og de krypterede data med håb om at bruge det i produktion senere.

Hvordan vil du nogensinde stole på integriteten af data, hvis et bevidst ondsindet program har onduleret det?
Stoler du på at den kun krypterer og dekrypterer? - Sådan gør de primitive ransomwares måske i dag. Hvad gør de lidt mere intelligente i morgen?

Det er bare en dårlig vej at gå, uanset hvad.

SÅ, tag backup, test din backup, test din recovery, regelmæssigt.

  • 2
  • 0
Log ind eller Opret konto for at kommentere